如何通过执行 log4j 注入来执行远程代码 [关闭]
Posted
技术标签:
【中文标题】如何通过执行 log4j 注入来执行远程代码 [关闭]【英文标题】:how remote code execute by doing log4j injection [closed] 【发布时间】:2022-01-21 10:46:22 【问题描述】:最新的 log4j 问题定义了可以进行日志注入远程代码执行,例如 JNDI。
但我的问题是如何在不知道类定义的情况下在其他机器上序列化对象执行(通过反序列化)?
【问题讨论】:
【参考方案1】:当 dserialisation 发生时,JVM 会将该类加载到内存中。
在类加载时,Java 类加载器会查找所有静态字段和静态块,因此如果该类中存在任何static block,它将被执行。
【讨论】:
以上是关于如何通过执行 log4j 注入来执行远程代码 [关闭]的主要内容,如果未能解决你的问题,请参考以下文章